WordPressのセキュリティプラグイン、Wordfence Securityの設定と使い方を紹介します。
Wordfence Securityは包括的にWordPressサイトのセキュリティ強化をしてくれる心強いプラグインです。
しかしながら、英語のため、どんなセキュリティ対策をしているのか、どう設定したらいいのか分かりにいです。
この記事では、プラグインの画面を日本語に翻訳しながら、必要な設定方法について解説しました。
- Wordfence Securityの主な機能
- Wordfence Securityをインストール後、設定した方がいい項目
Wordfence Securityのインストール
プラグインのインストール&有効化
管理画面>プラグイン>新規追加をクリック。
キーワードに「Wordfence Security」を入れてインストールをします。
Wordfence Securityがインストールできたら、「有効化」しましょう。
メールアドレスの登録
Wordfence Securityを有効化すると、メールアドレスの登録画面が表示されます。
①メールアドレスを入力
②「(WordfenceよりWordPressのセキュリティに関する情報を受け取りますか?)」>YES/NOのいずれかを選択
③規約とプライバシーポリシーにチェックを入れる
④CONTINUEをクリック
続いて、有料のライセンスキー入力画面が表示されます。
今回は無料版の機能でセキュリティ強化していきますので、右下の「No Thanks」をクリックします。
プラグイン一覧が表示されて、Wordfence Securityが有効化されます。
Firewall(ファイアーウォール)の設定
プラグインが有効化されると、管理画面のサイドバーに「Wordfence」というメニューが追加されます。
まずはファイアーウォールを設定していきます。
ファイアーウォールとは、不正なアクセスを遮断する仕組みです。
不正な操作コマンドなど、サイトへの攻撃を検出して入れて、通信を拒否してくれます。
ファイアーウォールをONにすると、WordPressの脆弱性をついた攻撃を防ぎやすくなります。
初めてダッシュボード Dashboardを開いたとき
Wordfence>Dashboard
初めてダッシュボードを開くと、チュートリアルが表示されますが、NEXTをクリックして読み飛ばしてOKです。
Firewall(ファイアーウォール)の最適化
まず、Wordfenceのダッシュボード上部に表示されている「CLIICK HERE TO CONFIGURE」をクリックします。
①「DOWNLOAD .HTACCESS」をクリックして.htaccessファイルのバックアップをダウンロード
②「DOWNLOAD .USER.INI」をクリックして「.user.iniのバックアップをダウンロード
③ CONTINUEボタンが押せるようになるのでクリック
ファイアーウォール最適化のため、Wordfenceがファイルの内容を書き換えます。
先ほどダウンロードした「.htaccess」「.user.ini」はバックアップなので、保管しておきましょう。
CLOSEをクリックして、インストールを完了。
Wordfenceを初めて利用した場合、一定期間、学習モードになります。
この期間中の動作を記録して、正常な動作を誤ってエラーとしないようにしてくれます。
この期日以降、ファイアウォールがONになります。
すぐにファイアウォールを有効にしたい場合は、プルダウンでLearning Mode(学習モード)から「Enabled and Protectiong(有効化&保護)」に変更して、右上のボタン「SAVE CHENGES(変更を保存)」しましょう。
Wordfence Global Options:基本設定
自動アップデートを有効化
Wordfenceの自動アップデートが無効になっていると、上に赤い通知がでます。
クリックして、有効化しておきましょう。
ワードプレスのverを隠す
Wordfence > All Options > Wordfence Global Options > General Wordfence Options
WordPressの仕様でバージョン情報が表示されています。
バージョン情報は攻撃のための情報を与えることになるので非表示にするのが望ましいです。
- Hide WordPress Version(ワードプレスのバージョン情報を隠す)
チェックを入れたらしたら右上の「SAVE CHANGES」で変更を保存します。
Email Alert Preferences:メールアラートの通知設定
初期設定だと、結構な頻度でメール通知が届くので最低限なものに絞ります。
Wordfence > All Options > Wordfence Global Options > Email Alert Preferences
Email Alert Preference(メール通知設定)を開いて、どんなときにメールでのアラートを送るか条件を設定していきます。
- Email me if Wordfence is deactivated
Wordfenceが無効化されたとき - Email me if the Wordfence Web Application Firewall is turned off
ファイアウォールが無効化されたとき - Alert me with scan results of this severity level or greater:Medium
スキャン結果がMedium以上のとき - Only alert me when that administrator signs in from a new device
管理者が新しいデバイスでサインしたとき - Alert me when there’s a large increase in attacks detected on my site
サイト上で大規模な攻撃を検知したとき
チェックを入れたらしたら右上の「SAVE CHANGES」で変更を保存します。
Activity Report(活動レポート)のサマリーをメールで送るか
Wordfence > All Options > Wordfence Global Options > Activity Report
好みにもよると思うのですが、メール通知を必要最低限に抑えたいです。アクティビティレポートもダッシュボードで確認すればいいので、チェックを外しています。
- Enable email summary(メールサマリーを有効化)のチェックをOFF
Brute Force Protection:総当たり攻撃の保護
Brute Force Attack(ブルートフォースアタック=総当たり攻撃)と呼ばれる攻撃があります。
ユーザー名とパスワードにいろんな文字列を試して、管理画面への不正なログインを試みる攻撃です。
Brute Force Protection(総当たり攻撃の保護)では、ログインを試せる回数を制限して、機械的にパスワードを突破して、不正にログインすることを防ぎます。
Wordfence > All Options > Firewall Options > Brute Force Protection
ここで、ログイン試行回数などを設定していきます。
①Lock out after how many login failures 何回ログインに失敗したらロックアウトするか | 10回 |
②Lock out after how many forgot password attempts パスワード再設定のフォームを何回まで利用できるか 入力したメールアドレスの持ち主にメールが届くので、勝手に何度も送られないよう制限します。 | 5回 |
③Count failures over what time period 失敗をカウントする時間 例えば5分で10回と設定した場合は5分間の間に10回失敗するとログイン画面が利用できなくなります。 | 1時間 |
④Amount of time a user is locked out ロックアウトする時間(一度ロックアウトされたユーザーのIPが次に利用できるまでの時間) | 12時間 |
⑤immediately lock out invalid usernames 一発でロックアウトするユーザー名 よく試されるIDとしてadminやドメイン名(このサイトなら0forest)がありますので、登録しておきましょう。 | 「admin」 「administrator」 「login」 「ドメイン名」 |
変更したら右上の「SAVE CHANGES」で変更を保存します。
二段階認証
二段階認証を入れると、管理画面に入る時に、ユーザー名とパスワード以外に加えて、別のワンタイムパスワードを入れることでログイン画面に入れるようになります。
「Wordfence」→「Login Security」
初めて開くと、こちらもチュートリアルで二段階認証の機能の紹介が表示されます。「NEXT」→「NEXT」→「DONE」と読み飛ばしてOKです。
二段階認証の導入には、Google Authenticator(Google 認証システム)アプリが必要になります。
- スマホに「Google Authenticator」をインストール
- アプリでLogin Security画面のQRコードを読み取る
- リカバリーコードをダウンロード
- アプリに表示されるワンタイムパスワードをLogin Security画面に入力
私は管理画面のログインに、アプリを使って二段階認証するのは面倒だったので、利便性を優先して入れていません。
入れるかどうかはご自身の判断でどうぞ。
アプリを使った二段階認証の代わりに、SiteGuard WP Pluginを使って強化するのもありかと思います。
- ログイン画面のURLを変更
- 画像認証を追加する
Wordfenceのすごい機能
ここまでで、ひとまず設定完了です。
ここからは、Wordfenceの便利機能を二つ紹介します。
ログイン履歴を確認できる
Wordfence > Tools
Live Trafficではリアルタイムで誰がログインしたか、wordfenceによってブロックされた攻撃など、サイトの状況を確認することができます。
画像は割愛しますが、Human(自分)/Bot(ボット)/Blocked(ハッキングの検知)などの情報が一覧で表示されます。
日夜、自分のサイトが脅威にさらされているんだなぁと気づける画面です🤔
ファイルのスキャン
WordfenceはWordPress内のファイルをスキャンし、ハッカーが悪質なプログラムを追加していないか、プログラムが不正に書き換えられていないかなどをチェックしてくれます。(初期設定のままで、週次でチェックしてくれます。)
Wordfence > Scan
万一ハッキングにあった場合には、このスキャンで状況を確認し、WordPressのプログラムを正常な状態に戻すことができます。
Wordfence SecurityでWordPressのセキュリティを高めよう
Wordfence Securityは無料ながらセキュリティを強化するための便利なプラグインですので、導入をおすすめします。
あわせて、パスワードを強化したり、こまめに最新バージョンにアップデートしたり、日々のメンテナンスも行いましょう。
他にも、WordPressのセキュリティ対策をまとめましたので、ごらんください。